Facebook sorgte bereits Anfang April für Schlagzeilen, als sensible Daten von 533 Millionen Nutzern in einem Hacker-Forum aufgetaucht sind. Viel aus der Sache sowie den vorangegangenen Datenlecks scheint das US-Unternehmen allerdings nicht gelernt zu haben. Denn als ein Sicherheitsforscher die Entwickler auf eine weitere Sicherheitslücke hinwies, sollen diese lediglich entgegnet haben, dass die Lücke nicht „wichtig“ genug sei, um geschlossen zu werden.
Zuordnung von E-Mails zu Facebook-Konten im großen Stil
Laut Angaben des Online-Portals ArsTechnica habe sich der Sicherheitsforscher, der anonym bleiben möchte, nach der Facebook-Absage an die Öffentlichkeit gewandt. Seinen Informationen zufolge ist in Hacker-Kreisen derzeit Software im Umlauf, mit deren Hilfe E-Mail-Adressen zu Facebook-Accounts zugeordnet werden können. Und zwar auch dann, wenn der Nutzer diese in den Einstellungen verborgen haben. Das Funktionsprinzip des Tools „Facebook Email Search v1.0“ präsentierte der Forscher anschließend in einem Video, in dem dieses innerhalb von nur drei Minuten 6.000 E-Mail-Adressen auf eventuell zugehörige Facebook-Konten überprüfte. An einem Tag sollen sich so bis zu fünf Millionen E-Mails überprüfen lassen.
Facebook zeigt sich uneinsichtig
Bereits im Rahmen des 533-Millionen-Datenskandals zeigte sich Facebook kritikresistent. Damals schrieb eine Sprecherin auf Twitter, dass es alte Daten seien. Das US-Unternehmen habe das Problem im August 2019 gefunden und gefixt. Unerwähnt blieb, dass die Beseitigung des Datenlecks keinerlei Einfluss auf bereits entwendete Daten hat. Im weiteren Verlauf kam ein Redakteur des niederländischen Portals DataNews in den Besitz einer internen E-Mail, in der das US-Unternehmen seinen PR-Mitarbeitern eine neue Kommunikationsstrategie bezüglich Datenlecks und Sicherheitslücken erläutert. Diese zielt darauf ab, Scraping-Angriffe langfristig als ein Branchenproblem darzustellen und sie zu „normalisieren“. Auf diese Weise will Facebook auch Kritik an der mangelhaften Transparenz verhindern.
Im aktuellen Fall ruderte Facebook allerdings bereits zurück. Das US-Unternehmen soll in einem Statement gegenüber ArsTechnica gesagt haben, dass die Absage ein Fehler gewesen sei. Die Meldung sei geschlossen worden, bevor sie an das richtige Team weitergeleitet wurde. Inzwischen habe man bereits erste Maßnahmen getroffen, um das Problem zu beheben.
Derzeit ist ungewiss, ob Hacker die Sicherheitslücke aktiv ausnutzen. Die Wahrscheinlichkeit dafür ist jedoch vergleichsweise hoch. Entsprechend empfiehlt es sich, verstärkt auf Phishing-Attacken mit direkter Ansprache und ähnliche Angriffe zu achten.
